收藏
下载资源 加入VIP免费专享

信息安全政策方针模板.docx

上传人:小飞机 文档编号:3279678 上传时间:2023-03-12 格式:DOCX 页数:35 大小:50.73KB
返回 下载 相关 举报
信息安全政策方针模板.docx_第1页
第1页 / 共35页
信息安全政策方针模板.docx_第2页
第2页 / 共35页
信息安全政策方针模板.docx_第3页
第3页 / 共35页
信息安全政策方针模板.docx_第4页
第4页 / 共35页
信息安全政策方针模板.docx_第5页
第5页 / 共35页
亲,该文档总共35页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述

《信息安全政策方针模板.docx》由会员分享,可在线阅读,更多相关《信息安全政策方针模板.docx(35页珍藏版)》请在三一办公上搜索。

1、信息安全政策方针模板广州xxx 信息安全政策方针 信息安全总体政策方针 历史版本编写、批准、发布信息记录表 版本号 V1.0 创建人/创建日期 / / / / / / / / / / / / / / / 批准人/批准日期 / / / / / / / / / / / / / / / 生效日期 文档修改记录 序号 修改章节 文件更改通知单编号 修改日期 修改人 批准人 信息安全总体政策方针 信息安全总体政策方针 目 录 第1章 基本方针 4 第2章 对策方针 7 第1节 信息安全管理体制 7 第2节 信息资产的保护对策 8 第3节 信息的管理 12 第4节 信息设备、媒体的管理 14 第5节 个人

2、信息的管理 16 第6节 信息系统的使用人员管理 17 第7节 访问控制 19 第8节 系统管理员特权 20 第9节 系统操作记录 20 第10节 第11节 第12节 第13节 第14节 第15节 第16节 第17节 第18节 第19节 第20节 第21节 可用性对策 21 网络安全 22 互联网和电子邮件的利用 24 计算机病毒对策 25 安全漏洞对策 26 软件的管理 28 本单位信息系统的构筑、运用 28 设备对策 30 发生侵害信息安全时的对应 30 外包管理 32 单位成员就职、辞职和人事变动时的措施 32 信息安全的维持活动 34 各种细则 35 第1章 基本方针 第1条 本信息安

3、全政策之“基本方针”以及“对策方针”阐明了广州xxx对信息资产管理和信息安全的观点,是针对信息安全对策的方针而制定的,以实现下述事项为目的。 保护客户以及本单位的知识产权 明确应该保护的信息资产以及对策 与信息安全相关的风险管理以及安全等级的维持、均一化 统一采取信息安全对策方面的判断标准 提高单位成员对信息安全的意识 有法必依,照章行事 第2条 本政策由规定本单位信息安全方面的基本且一般性方向的“基本方针”以及按各条款规定具体性事项以及指标的“对策方针”构成。 2. “对策方针”是本单位在信息安全方面必须施行对策的条款中,所应该施行事项或者应该达到最低水平的指标,是基于以下构想而制定的。 从

4、机密性、正确性、可用性的观点出发对信息资产的重要程度设立各个条款,将其分别设定为与上述重要程度相应的条款或指标。 对于信息资产的访问权仅根据业务需要授权。 信息安全管理中,极力避免人员管理内容,积极采用信息技术,有组织地提高信息安全对策的可靠性为宗旨。 第3条 本政策适用于就职于本单位的所有雇员及派遣员工。 信息安全总体政策方针 2. 外包对象,也必须遵守本政策。本政策中所提及的“外包对象”指: 合作单位及其员工 合同工 服务供应商及其员工 第4条 本政策信息资产对象包含各种文档以及数据等本单位的所有信息,此外还包括软硬件以及各种数据文件等信息技术性信息资产。 第5条 信息安全主管领导要在理解

5、本政策宗旨以及内容的基础上,给予足够的重视,在遵守其规定的同时,还要按照本政策采取与信息安全有关的对策措施。 2. 信息安全主管领导要努力确保本政策所规定的条款稳定,不要随意变更,此外,当本政策所规定的条款存在不符合客观实际情况等不妥善之处时,要争取及时将其予以妥善修改。 3. 信息安全主管领导要率先推进乃至实行基于本政策的信息安全对策。 第6条 全体单位成员要在理解本政策的宗旨及内容的基础上给予足够的重视,遵守其规定。 2. 全体单位成员要努力加深对信息安全的认识和理解。 第7条 为了进行信息安全对策的起草提案以及维持管理,设置信息安全委员会,由信息安全主管领导指名任命信息安全委员会委员长。

6、 2. 各项目或各部的负责人要对各项目或各部遵守本政策以及有关规程进行管理,同时还要实施和审核信息安全对策。实施时,要指定各项目以及各部的信息安全主管。被指信息安全总体政策方针 定的信息安全主管以信息安全委员会的一员从事活动。 3. 组织体系依据本政策末尾所记载的信息安全管理组织图设立。 第8条 除本政策以及有关规程外,当法令、行政机构、本行业团体制定有关信息安全的指针中有与本单位的指针一致的话,必须遵守。 信息安全总体政策方针 第2章 对策方针 第1节 信息安全管理体制 ) 第9条 信息安全委员会委员长负责指挥、监督信息安全对策的实施、维持。 2. 信息安全委员会委员长设置信息安全委员会,指

7、挥信息安全对策的实施。 3. 信息安全委员会委员长向总经理报告全单位的信息安全对策的实施情况。 ) 第10条 信息安全委员会由信息安全委员会委员长设置,主管全单位信息安全对策推进、维持管理有关业务,执行信息安全有关业务的具体业务。 2. 信息安全委员会是各个项目和各部申报、申请、出现紧急情况时报告的主管部署,在单位内起横向管理的作用。 3. 信息安全委员会向主管领导报告全单位信息安全对策的实施情况。但重要事项要向信息安全委员会提出提案。 4. 从信息安全委员会中选拔出以下负责人。各个负责人的作用如下: 设施管理人员 对接受委托的开发环境等办公场所和服务器机房的出入进行管理。 网络管理人员 与网

8、络整体有关的管理。 电脑、服务器管理人员 电脑和服务器安全对策的管理、设备管理。 数据管理人员 测试数据和正式数据的拿入和拿出、保管和复制、废弃、备份制作、开发文档类的管理。 信息安全总体政策方针 第11条 各个项目和各部的项目负责人、部长作为各个项目和各部的信息安全对策负责人,实施信息安全对策的贯彻普及、维持管理。 2. 各个项目和各部的项目负责人、部长向信息安全委员会报告各项目和各部信息安全对策的实施情况。 3. 各个项目和各部的项目负责人、部长为了在各项目或部内贯彻信息安全对策,可以指定信息安全主管。 4. 信息安全主管对项目或部内的信息安全对策实施提供支持,向项目负责人以及部长报告其实

9、施情况。 第12条 教育负责部署的任务是为提高单位成员的安全意识,彻底贯彻落实本政策,开展教育计划的规划、起草、实施。 第13条 构筑可与客户、服务提供商、信息安全专业机构等保持适当联系的信息安全有关体制。 第2节 信息资产的保护对策 第14条 除业务需要外,不擅自从客户或交易对方等单位外部组织获取重要信息。 第15条 对于本单位拥有的全部重要信息资产根据其重要度采取相应的管理和对策。 第16条 信息的重要度从机密性完整性可用性的观点来确定。 信息安全总体政策方针 此外,还规定: 所谓机密性是指信息的隐匿性,只有正当的权限人员才能参阅信息; 所谓完整性是指信息正确且具有整合性,信息之间不存在矛

10、盾; 所谓可用性是指信息以及信息系统在需要时随时可以提供。 其各个等级定义如下: 信息安全总体政策方针 保护信息资产的观点 等级 定义 当开示或泄漏给无浏览权限的人时,会极大地损害来自客户的信赖, 给本单位的经营带来巨大损害的信息,包括以下内容: - 客户编制的开发规章类、规格书、设计书、操作手册 - 客户编制的程序源、软件 4 - 客户系统环境相关信息 - 客户办理的机密信息 - 客户企业的职工信息 - 与客户企业的业务有关的现在或者未来的计划、方针 机密性 (非公开) - 含有由客户提供的技术或专业技能的信息 当开示或泄漏给无浏览权限的人员时,有可能给本单位的经营造成损害 的信息,包括以下

11、内容: 3 - 外包单位职工的信息 - 与本单位经营战略有关的信息 - 本单位的财务、人事信息 - 与本单位系统有关的信息 2 1、3、4以外的信息 (公开) 1 已经一般公开的信息 保护信息资产的观点 等级 定义 当信息被不当篡改或者与实际不符时,会给本单位的经营造成巨大损害 的信息或者原本性高的信息,包括以下内容: - 接受客户委托的业务而编制的程序源 3 完整性 - 接受客户委托的业务而编制的规格书、设计书、操作手册 - 关于客户企业与本单位之间关系的信息 - 与本单位经营战略有关的信息 - 本单位的财务、人事信息 - 本单位系统有关的信息 当信息被不当篡改或者与实际不符时,有可能给本单

12、位的经营造成损害的 2 信息,包括以下的内容: - 外包单位职工信息 1 2、3以外的信息 保护信息资产的观点 可用性 等级 3 定义 当无法使用时,会给本单位的经营或者客户造成巨大损害,因此要求随时 可以使用的信息以及信息系统。 信息安全总体政策方针 当无法使用时,会给本单位造成损害,但允许在一定时间内处于不能使 用状态的信息以及信息系统,包括以下内容: 2 - 电子邮件系统 - 客户系统开发用服务器 - 文件共享服务器 1 2、3以外的信息以及信息系统 第17条 彻底清查本单位所拥有的全部重要信息资产,编制出目录,根据重要度的定义进行重要度分类。 第18条 对信息的重要度,要适时进行重审。

13、此外,当对信息的重要度进行变更时,要告知全体有关人员。 信息安全总体政策方针 第3节 信息的管理 第19条 当发布含有重要度高的信息文书、可携带媒体时,要根据其机密度贴上适当的标签。 第20条 信息资产的保管要确定管理负责人,根据其重要度确定保管场所、有效期限、保管方法、保管媒体。 2. 特别是法定帐票或对事业维续不可缺少的信息、作为组织进行的记录、客户寄存的信息资产要严加保护,避免出现丢失/消失、损坏以及篡改等危险。此外,对于客户寄存的信息不要用于其目的以外的用途。 3. 非公开信息不要放任不管,要进行适当的管理,做到不使其轻易地就能阅读到。 4. 机密文件不要放在办公桌上。离开位子时,应锁

14、定计算机,不要让重要数据显示在屏幕上,并且使用带密码的屏保。 第21条 复制以及分发要控制在业务所需的最小限度范围内。 2. 复制、分发客户寄存的信息资产时,原则上要事先征得客户的许可。通过电子邮件的发送或经由互联网的文件传送同样如此。 3. 原则上严禁将重要信息带到单位外。因业务需要不得不带出时,要取得所属项目的项目负责人或所属部署负责人的同意。复制、分发重要信息时,要记录管理所分发的范围。 4. 关于客户寄存的信息资产,未经客户许可,严禁将其带出客户许可保管以外的场所。 信息安全总体政策方针 第22条 由于业务上的需要与单位外组织进行信息授受时,要采取适当的保护措施。 第23条 向交易对方

15、或单位外组织明示信息时,要根据内容的重要度对明示范围、明示对象单位、明示期间、明示理由、明示状况等进行妥善管理。 第24条 向大众媒体、大众的问询公开提供本单位的信息时,要向总经理以及管理该信息的项目或者部署申报公开范围、公开对象、公开期限、公开理由等并取得同意。此外,公开与有关客户的信息时,要事先征得客户的同意。 2. 总经理以及信息安全委员会要充分掌握公开状况。 3. 公开信息时,要采取妥善的保护措施,避免被篡改等风险。 第25条 当收到官方机构等明示信息的要求时,要确认其根据的正当性,对其妥当性进行判断后方予以明示。 第26条 信息安全委员会委员长认为有必要时,对单位内拥有的信息可以无事

16、先通告进行阅览。 2. 但阅览信息时,在注意隐私的同时,严禁用于阅读以外的用途。 第27条 客户寄存的信息资产原则上要返还。此外,该信息资产的管理负责人要确认已返还给客户,并就此与客户联系。 信息安全总体政策方针 第28条 当废弃信息设备、媒体、纸张等时,要彻底抹消重要的数据或者被授予使用许可的软件等,或者进行粉碎处理、设备的粉碎等,使其变成难以读取的状态。 第29条 与机密信息管理有关的详细步骤另行在保密规则中规定。要根据该规则妥善管理与业务有关的信息。 第4节 信息设备、媒体的管理 第30条 要明确信息设备的管理责任人,采取妥善的保护措施。 第31条 关于信息设备,要对资产管理编号、引进日

17、、设置场所、负责人员等进行底帐管理。 第32条 要定期监查信息设备是否有丢失或者是否设置有非法的信息设备。 第33条 当新追加或者增设信息设备时,要向信息安全委员会报备。 第34条 信息设备原则上不出借。当业务上需要时,要向信息安全委员会申报借出对方、借出对方负责人、借出方负责人、期限、理由、目的等并取得批准。 信息安全总体政策方针 第35条 当在网点之间移送收纳有重要信息的信息设备或媒体时,要针对丢失、被盗、偷窥等采取妥善的保护措施。 第36条 原则上严禁将信息设备搬入/搬出。出于业务需要必须要搬入/搬出时,要向项目负责人、部长申报理由、信息设备名称等并取得批准。此外,在软件接受委托开发业务

18、的环境下,原则上未经客户许可严禁将信息设备搬入/搬出,不过因业务需要必须搬入时,要向项目负责人、部长申报并取得批准。 (1) 设备的搬出 当要将保存有重要信息的设备搬出时,必须施行用户ID密码认证以及硬盘等外存装置的加密,而且还要采取妥善的信息保护措施。 在电车内等公共场所中,要时刻注意周围的情况,防止被偷窥。 当不携带或者不使用时,要存放在笔记本电脑存放架上,搬出时要在搬出管理簿上进行搬出登记。 (2) 设备的搬入 搬入设备时,在接入单位内网络之前,先通过更新病毒码文件或者补丁文件适用后的防毒软件杀毒,确认安全后再行接入。 第37条 关于共用的信息设备,要规定明确的运用规则,进行妥善的保养管

19、理。此外,要记录运用的作业履历。 第38条 进行信息设备的修理时,要通过信息安全委员会规定的管理部门/主管人员施行。 信息安全总体政策方针 2. 当因修理而需要搬运时,要采取妥善的管理办法。当修理后返还时,要确认是否存在故障、是否有信息欠缺、是否被装入非法程序。 第5节 个人信息的管理 第39条 只对业务上必需的最小限度的信息通过合法且公正的方法进行收集,原则上在向本人说明使用目的后征得同意之后再行收集。 第40条 严禁用于收集时之目的以外的用途。 第41条 个人信息的本人要求对自己的个人信息进行明示、修改、删除和停止利用时,在进行严格的本人确认后尽快予以施行。 第42条 当将与个人信息有关的

20、处理对外委托时,要求施行与在本单位内同等程度的管理。 第43条 当接受外部委托进行有关个人信息的处理时,要遵守委托方的个人信息管理准则。 信息安全总体政策方针 第6节 信息系统的使用人员管理 第44条 本单位向单位成员提供的信息系统原则上应以业务目的使用。 第45条 访问本单位信息系统时,要根据重要度编入适当的使用者认证体制。 第46条 用户ID必须给每个使用者分配一个ID,严禁共用ID。有必要设定业务代理时,重新发行代理人使用的ID,并对其赋予权限。但是,统筹部署批准的情形不在此限。 2. 被赋予ID的人员要在被认可的权限范围内使用,妥善地进行管理。 3. 被赋予ID的人员要在被认可的权限范

21、围内进行使用,对用自己的ID进行的全部操作负有责任,不得将ID借给他人。 4. 用户ID的发行必须按照信息安全委员会批准的正式登记步骤进行管理。此外,对于ID发行的情况要进行底帐管理。 5. 因退职等原因而不再使用的ID要尽快停止其利用。此外,长时间不使用的ID要暂时停止或者停止其利用。 6. ID要定期地重审,核查是否存在业务上不必要的ID。 第47条 要对密码的定期变更、使用难以推测的文字列、强制变更初始密码、限制再次使用过去使用过的密码、禁止使用密码保存功能等进行彻底地密码管理。 2. 不要将密码书写在纸上张贴,或者把密码告诉他人。输入密码时,务必由本人输入。 信息安全总体政策方针 3.

22、 在设置密码时,不能使用可以从名字等个人信息中破解出的密码,或者英语单词等。密码应为字母数字组合、大小写组合,长度为8位以上,且每两个月必须更新。 信息安全总体政策方针 第7节 访问控制 第48条 访问权限要限定在业务需要范围内。 2. 访问权限的设定要按照信息安全委员会批准的正式设定步骤进行管理。此外,针对权限赋予的情况要进行底帐管理。 3. 访问权限要定期地进行重审,核查是否授予了业务上不必要的访问权限。 第49条 离开座位时或者为无人终端时,要注销或者锁定画面。 2. 要设定在一定时间内没有访问时,或者自动注销,或者需要再次认证的机制。 信息安全总体政策方针 第8节 系统管理员特权 第5

23、0条 管理员特权的发行由信息安全委员会进行全权管理。 2. 因人事变动等原因而进行管理员特权交接时,要变更ID或者密码。 3. 将具有管理员特权的ID、密码发行给单位外部的人员时,要以书面形式明示所许可的行为,对于保密以及禁止超越委托业务范围的行为以及禁止泄露密码要让其提交誓约书。 4. 此外,在紧急情况下需要发行管理员特权时,在信息安全委员会批准的基础上,限于在必要的期间内发行暂用ID、密码,或者设定临时性的管理员特权。 第9节 系统操作记录 第51条 为了迅速查明系统故障或者违章操作等原因,要对信息系统的利用人员、时间、利用内容获取相应的日志。 第52条 要根据信息的重要度以及系统环境相应

24、地确定获取日志的项目。 2. 关于重要信息的日志,原则上要获取针对参阅、新建立、修改、删除、打印操作成功以及失败的日志。 3. 关于重要信息的日志,原则上要获取参阅成功的日志。 4. 根据信息安全委员会的判断,根据需要对上述以外的信息也要获取日志。 5. 要获取的日志作为可以与诱发该事象的使用者进行对应的内容。 信息安全总体政策方针 第53条 获取的日志数据要根据信息的重要度以及系统环境,在适当的媒体上保管、管理适当的周期。 2. 获取的日志最好保存在离线媒体上。此外,与重要度高的信息有关的日志,最好收纳在不能写入的媒体上。 3. 为了确保日志数据解析的容易度以及证迹性,获取日志对象系统的时间

25、要全部同步。 第54条 信息安全委员会要定期地对获取的日志数据进行监查,调查是否存在违章操作。 第55条 第10节 可用性对策 第56条 新构筑、变更网络时,在设计阶段要对所设想到的高峰需求时的网络性能必要条件进行设定。 2. 为了业务服务的稳定运行以及早期发现故障,要根据重要度采用运用状态自动监视系统。 第57条 要根据可用性的重要度,采取冗长构成、使障碍极小化构成、代替方法等对策。 对于重要信息的信息资产,采用使障碍极小化构成 日志数据要按信息资产对待,根据本政策采取妥善的对策。 信息安全总体政策方针 关于重要信息的信息资产,采取进行在线备份或者代替机的冷备份等可以迅速准备代替方法的措施。

26、 关于重要信息的信息资产,采取进行离线备份等可以恢复到必要状态的措施。 第58条 对重要信息要定期获取备份。此外,进行备份的信息要根据信息的重要度进行妥善地保护。 2. 备份要根据构成对象的信息的重要度确定时机、保管世代数、方法、保管期限、保管场所。 第59条 备份媒体含有重要信息时,要保管在可以上锁的场所等,进行严格的管理。 第60条 当要求高度的可用性时,要根据容许停止时间,签定设备、软件的保养、维护合同。 第11节 网络安全 第61条 对每个网络设定必要的安全等级,不同等级的网络彼此连接时,要根据需要设置防火墙,将通信控制在只容许必要最小限度的通信内。尤其是在接受委托进行软件开发业务的开

27、发环境中,原则上客户的不同项目要采用分隔网络环境的独立LAN构筑,严禁访问与客户达成协议以外的网络环境。 2. 远程访问本单位的单位内网络时,要使用严格的认证方法,必要时采用每次插入调制解调器电源等方式,彻底落实访问管理。 信息安全总体政策方针 第62条 将本单位的网络与单位外的网络连接时,仅限于信息安全委员会判断为业务上需要的情况。 2. 将本单位的网络与单位外的网络连接时,尤其是与不特定多数连接的互联网连接时,在连接界限处要设置由信息安全委员会规定的防火墙,将通信控制在容许必要最小限度的通信内。 3. 将本单位的网络与单位外网络连接时,要根据机密性的重要度探讨妥善的防止信息泄露措施。 4.

28、 对可以访问单位外网络的计算机要进行底帐管理。 5. 要求所连接的单位外组织对其信息安全对策的情况进行充分的说明。 6. 对于所连接的单位外组织不要进行违章操作或访问。 7. 要求所连接的单位外组织排除对本单位信息资产的违章或访问。 8. 在重要的网络中,要进行故障监测以及违法入侵监视。 第63条 关于单位内无线局域网的使用, 在施行了路由加密或对接入点的访问控制、变更接入点识别ID等妥善安全对策的基础上,要征得信息安全委员会的使用许可。此外,在安全对策方面,要考虑到发展趋向,进行重审、变更。 2. 被批准的接入点要由信息安全委员会进行底帐管理。 第64条 要对防火墙和路由器的通信控制内容进行

29、底帐管理。 2. 严格管理网络设定信息。 3. 防火墙和路由器等重要的网络设备要安装在上锁的区域。 4. 要确定网络构成的构成变更步骤。 信息安全总体政策方针 第65条 在与单位外的网络连接点中,根据风险评估的结果,确定是否需要定期地实施模拟入侵测试等安全机制的评估。 第12节 互联网和电子邮件的利用 第66条 当业务上需要使用互联网时,通过提交申请书,可许可单位成员利用互联网。 2. 当需要在单位以外的场所使用单位的邮件系统时,需填写设备领出单申请开通VPN,并由相关领导批准方可使用。 第67条 当业务上需要利用电子邮件时,通过提交申请书,可许可单位成员利用电子邮件。 第68条 关于发送内容

30、,要检查是否含有机密信息,表现是否适当。 第69条 不得故意违法使用电子邮件。此外,要充分考虑到电子邮件系统的特性和机制,在使用中要充分予以注意。例如,要注意以下几点: 只使用管理员授予的邮件地址,禁止使用其他的邮件地址。 禁止变更寄出用邮件地址 向不相关多数人群发邮件等不适合公开收件人地址时,在BCC中指定地址。 务必确认邮件的收件人后再发送 邮件的署名中不可包含多余的信息 严禁向外部服务提供商转发邮件。 信息安全总体政策方针 严禁使用免费邮箱,个人申请的服务提供商的邮箱等未经单位许可的邮箱。 原则上严禁使用在浏览器上可以收发邮件的WEB邮件 对来源不明的邮件和内容不确切的附件要加以注意 不

31、使用邮件软件的预览功能 包含重要信息的文件,必须使用加密的压缩方式进行发送。 第70条 对于发往单位外的电子邮件,要获取发件人、收件人、邮件名的日志,根据需要检查该邮件内容。此外,对于获取的事实要使单位成员人人皆知。 3. 经本单位设备处理的所有电子邮件短信归本单位所有。 4. 只要信息安全委员会委员长批准,有时可不经本人同意,对无论是发往单位内的、还是发往单位外的电子邮件,一律进行使用日志的监查。 第71条 要获取互联网使用者和访问目的地的日志,根据需要检查其内容。此外,获取的事实要使单位成员人人皆知。 2. 根据需要,要设定限制令互联网使用者无法浏览与业务无关的网站。 第13节 计算机病毒

32、对策 第72条 单位成员使用的计算机中要使用信息安全委员会指定的防病毒软件。 2. 在互联网的连接点以及进行有可能感染病毒的文件的发送接收操作的单位外连接点中,在路由上要采用查毒网关。 3. 要时常获取病毒信息,努力收集关于新型病毒的信息。 信息安全总体政策方针 4. 要使病毒码文件时常保持最新的状态。 第73条 信息安全委员会要事先编制感染病毒时的应对指南手册,令单位成员周知。 第74条 通过USB记忆体等可拆卸式媒体进行文件传递时,要进行病毒检查。 2. 通过电子邮件进行文件传递时要进行病毒检查。 3. 通过互联网等网络下载文件时要进行病毒检查。 第75条 当发现病毒时,要立即将网线从计算

33、机上拔下,防止受害的蔓延。随后与信息安全委员会取得联系,听取适当的指示。当在接受委托的软件开发业务环境中发现病毒时,还要与客户取得联系,由信息安全委员会与客户彼此进行密切联系。 2. 信息安全委员会要获取最新的病毒信息,给与适当的指示。此外,要根据需要与单位外有关组织进行联系。 3. 当来自单位外的邮件等中混入病毒时,在与信息安全委员会协商的基础上,将其通知给该企业。 第76条 对于文件传递较频繁的单位外组织,要请求其实施防病毒对策。 第14节 安全漏洞对策 第77条 提高与信息安全有关的信息方面的意识,当开发商发表针对安全漏洞的补丁程序时,除了因使用补丁程序会引起重大功能障碍外,要迅速地使用

34、补丁程序。 信息安全总体政策方针 2. 原则上可以连接到互联网环境来实施最新的补丁程序适用。此外,不能连接互联网的环境要考虑对软件开发业务的影响以及由于不使用安全补丁而造成的风险,探讨使用时机。 3. 但是,客户要求进行适用时,原则上要尽快使用。 信息安全总体政策方针 第15节 软件的管理 第78条 要从与软件的引进有关的安全方面进行评估并向信息安全委员会报告。原则上严禁引进业务上必要以外的软件。 2. 关于接受委托进行的软件开发业务的开发环境,当引进业务上必要的软件时,要与客户联系并征得同意。 第79条 软件的安装在按批准的步骤进行的同时,还要按照另行规定的规则实施相应的安全设定。 第80条

35、 只引进正式获得使用许可的软件。 2. 要充分理解并遵守软件的使用承诺。 第81条 对引进的软件要实行底帐管理。此外,最好根据需要,引进收集软件的安装信息和设定信息的工具。 第82条 第83条 信息安全委员会与信息安全小组要定期监查软件是否得到妥善地引进、使用。 第16节 本单位信息系统的构筑、运用 要根据需要,明确要引进软件的维护和开发商的支援体制。 信息安全总体政策方针 第84条 为了在采取信息安全对策时确保完善的体制、充分的预算和期间,从计划阶段开始就要进行关于信息安全的讨论。 2. 在设计、开发、测试、保养以及运用的各个阶段,要对安全功能的质量进行审评,并要得到信息安全委员会的同意。

36、第85条 为了排除误用和恶意的行为,要将系统构筑业务、系统运用业务、用户业务等权限进行分离,编缉成彼此相互牵制的功能。因某种制约不能进行职务分离时,要进行行动监视和获取使用日志等。 第86条 除正式环境外还要备有另外的开发环境和测试环境,根据需要进行充分的测试后再移行到正式环境。另外,正式环境、开发环境和测试环境之间的访问要限定在必要的最小限度。 2. 对于新引进的系统,要对基于设计时的对策方针编入的所有的安全性功能进行测试,取得信息安全委员会的同意。另外,测试结果要用书面形式保存。 第87条 使用重要信息的测试,限定在本单位拥有的测试环境,测试结束后,要进行数据删除等适当的处理。另外,使用重

37、要信息要进行记录。 2. 实施使用重要信息的测试时,要采取数据伪装等保护数据泄露对策。 第88条 关于平常及紧急情况时的构成变更,要设定变更管理步骤。 信息安全总体政策方针 第17节 设备对策 第89条 本单位系统的主机原则上设置在符合有关机构规定的安全基准的数据中心或与之同等的设施内。 2. 共享文件和各种服务器安装在本单位建筑内时,除业务上有要求的情况外,要设置在物理上安全的场所。特别是对于机密性高的信息资源要设置专用的区域。 第90条 在接受委托进行软件开发业务的开发环境中,原则上要将每个客户的项目进行区域分隔,通过引进出入室系统等,限定可以访问的人员。 第91条 设置处理重要信息服务器的场

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 生活休闲 > 在线阅读


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号